По статистике, уязвимости, попадающие в наши приложения через транзитивные зависимости, составляют 85% проблем, привносимых из open source. Кто-то на эти проблемы закрывает глаза из-за сложности триажа, кто-то не понимает, как подступиться к ним из-за трудоемкости исправлений. В выступлении будет представлена аналитика по работе с уязвимостями в транзитивных зависимостях. При помощи анализа мегаграфа связей open-source-пакетов оценивается степень влияния известных уязвимостей на экосистемы разработки и определяется скорость реакции сообщества на выявленные проблемы. Доклад раскрывает полезные сценарии ручного и автоматического триажа на практических кейсах, которые позволят сэкономить время разработчиков и специалистов AppSec. Алексей Смирнов CodeScoring
Hide player controls
Hide resume playing